El grupo de ciberdelincuentes ruso, patrocinado por el Estado, al que se conoce como ‘Sandworm’, ha comprometido a once proveedores de servicios de telecomunicaciones en Ucrania entre mayo y septiembre de 2023.
Esto se basa en un nuevo informe del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) que cita “recursos públicos” e información recuperada de algunos proveedores violados.
La agencia afirma que los piratas informáticos rusos “interfirieron” con los sistemas de comunicación de 11 empresas de telecomunicaciones en el país, lo que provocó interrupciones del servicio y posibles violaciones de datos.
Sandworm es un grupo de amenaza de espionaje muy activo vinculado al GRU (fuerzas armadas) de Rusia. Los atacantes se han centrado en Ucrania a lo largo de 2023, utilizando señuelos de phishing, malware para Android y limpiadores de datos.
Los ataques comienzan cuando Sandworm realiza un reconocimiento en las redes de la empresa de telecomunicaciones utilizando la herramienta ‘masscan’ para realizar escaneos en la red del objetivo.
Sandworm busca puertos abiertos e interfaces RDP o SSH desprotegidas que puedan aprovechar para violar la red.
Además, los atacantes utilizan herramientas como ‘ffuf’, ‘dirbuster’, ‘gowitness’ y ‘nmap’ para encontrar posibles vulnerabilidades en los servicios web que puedan explotarse para obtener acceso.
Las cuentas VPN comprometidas que no estaban protegidas por autenticación multifactor también se aprovecharon para obtener acceso a la red.
Para que sus intrusiones sean más sigilosas, Sandworm utiliza ‘Dante’, ‘socks5’ y otros servidores proxy para enrutar sus actividades maliciosas a través de servidores dentro de la región de Internet de Ucrania que comprometieron anteriormente, haciéndolo parecer menos sospechoso.
CERT-UA informa haber visto dos puertas traseras en los sistemas de ISP pirateados, a saber, ‘Poemgate’ y ‘Poseidon’.
Poemgate captura las credenciales de los administradores que intentan autenticarse en el punto final comprometido, brindando a los atacantes acceso a cuentas adicionales que pueden usar para movimientos laterales o una infiltración más profunda en la red.
Poseidon es una puerta trasera de Linux que, según la agencia ucraniana, “incluye la gama completa de herramientas de control remoto de computadoras”. La persistencia de Poseidon se logra modificando Cron para agregar trabajos no autorizados.
Sandworm utiliza la herramienta ‘Whitecat’ para eliminar los rastros del ataque y eliminar los registros de acceso.
En las etapas finales del ataque, se vio a los piratas informáticos implementando scripts que provocarían interrupciones en el servicio, especialmente enfocándose en equipos Mikrotik, y borrando copias de seguridad para hacer que la recuperación fuera más desafiante.
CERT-UA recomienda que todos los proveedores de servicios del país sigan las recomendaciones de esta guía para dificultar que los ciberintrusos accedan a sus sistemas.